phrozencrewПон, 26.03.07, 20:40 |
Здравейте приятели, Бих искал да отворя една семпла тема за хакването на сайтове. Днес посетих един от любимите си рибарски сайтове и открих, че беше хакнат. На индекса му за около 15 минути имаше снимка на двама цигани, които пият бира и отдолу надпис - "ние още сме тук, торентите никога няма да умрат". Няма да споменавам сайта, за да ен правя глупава реклама на хакерчетата, но се замислих как ли са го кракнали, че и са променили главната страница. След известно ровичкане с някои до болка познати инструменти стигнах до извода, че единственото, което са използвали е Nmap, после са видели, че сайта се поддържа от стара версия на Apache, и не на последно място са видели и отворен порт за база данни с MySQL. Базата данни също е стара версия, проверих. Така че какво ми остана, само да намеря нужните дупки... да но админите на сайта се усетиха горе-долу за 15 минути и свалиха сайта от мрежата. А тук:) замисляли ли сте се дали сме защитени от към пароли и потребителски имена... интересно. Нека проверим www.download.bg с Nmap. Ще ви покажа при моето трасиране каква информация е достъпна: Basic Information
Site being probed: www.download.bg
Web Server: Apache/2.0.54 (Unix) DAV/2 PHP/4.3.11
Page Retrieval Time 1.39 seconds
Connect time: 0.77
Wait time: 0.30
Data Recv time: 0.32
Other: 0.00
Size of page: 12226 bytes
Server History:
Date IP address Server String
Mar 23, 2005 194.12.244.194 Apache/2.0.52 (Unix) DAV/2 PHP/4.3.9
Feb 23, 2005 194.12.244.194 Apache/2.0.52 (Unix) DAV/2 PHP/4.3.9
Jan 22, 2005 194.12.244.194 Apache/2.0.52 (Unix) DAV/2 PHP/4.3.9
Dec 22, 2004 194.12.244.194 Apache/2.0.52 (Unix) DAV/2 PHP/4.3.9
Nov 20, 2004 194.12.244.194 Apache/2.0.52 (Unix) DAV/2 PHP/4.3.9
Oct 19, 2004 194.12.244.194 Apache/2.0.49 (Fedora)
Sep 16, 2004 194.12.244.194 Apache/2.0.49 (Fedora)
Aug 18, 2004 194.12.244.194 Apache/2.0.49 (Fedora)
Jul 17, 2004 194.12.244.194 Apache/2.0.49 (Fedora)
Jun 15, 2004 66.192.185.4 Apache/1.3.31 (Unix) mod_auth_passthrough/1.8 mod_log_bytes/1.2 mod_bwlimited/1.4 PHP/4.3.5 FrontPage/5.0.2.2634a mod_ssl/2.8.18 OpenSSL/0.9.6b
May 11, 2004 66.192.185.4 Apache/1.3.29 (Unix) mod_auth_passthrough/1.8 mod_log_bytes/1.2 mod_bwlimited/1.4 PHP/4.3.5 FrontPage/5.0.2.2634 mod_ssl/2.8.16 OpenSSL/0.9.6b
Apr 16, 2004 66.192.185.4 Apache/1.3.29 (Unix) mod_auth_passthrough/1.8 mod_log_bytes/1.2 mod_bwlimited/1.4 PHP/4.3.5 FrontPage/5.0.2.2634 mod_ssl/2.8.16 OpenSSL/0.9.6b
Mar 17, 2004 66.192.185.4 Apache/1.3.29 (Unix) mod_auth_passthrough/1.8 mod_log_bytes/1.2 mod_bwlimited/1.4 PHP/4.3.4 FrontPage/5.0.2.2634 mod_ssl/2.8.16 OpenSSL/0.9.6b
Feb 14, 2004 66.192.185.4 Apache/1.3.29 (Unix) mod_auth_passthrough/1.8 mod_log_bytes/1.2 mod_bwlimited/1.4 PHP/4.3.4 FrontPage/5.0.2.2634 mod_ssl/2.8.16 OpenSSL/0.9.6b
Jan 19, 2004 66.192.185.4 Apache/1.3.29 (Unix) mod_auth_passthrough/1.8 mod_log_bytes/1.2 mod_bwlimited/1.2 PHP/4.3.4 FrontPage/5.0.2.2634 mod_ssl/2.8.16 OpenSSL/0.9.6b
Dec 14, 2003 66.192.185.4 Apache/1.3.29 (Unix) mod_auth_passthrough/1.8 mod_log_bytes/1.2 mod_bwlimited/1.2 PHP/4.3.4 FrontPage/5.0.2.2634 mod_ssl/2.8.16 OpenSSL/0.9.6b
Nov 15, 2003 66.192.185.4 Apache/1.3.29 (Unix) mod_auth_passthrough/1.8 mod_log_bytes/1.2 mod_bwlimited/1.2 PHP/4.3.4 FrontPage/5.0.2.2634 mod_ssl/2.8.16 OpenSSL/0.9.6b
Oct 13, 2003 66.192.185.4 Apache/1.3.28 (Unix) mod_auth_passthrough/1.8 mod_log_bytes/1.2 mod_bwlimited/1.0 PHP/4.3.3 FrontPage/5.0.2.2634 mod_ssl/2.8.15 OpenSSL/0.9.6b
Sep 12, 2003 66.192.185.4 Apache/1.3.28 (Unix) mod_auth_passthrough/1.6 mod_log_bytes/1.2 mod_bwlimited/1.0 PHP/4.3.3 FrontPage/5.0.2.2634 mod_ssl/2.8.15 OpenSSL/0.9.6b
Aug 18, 2003 66.192.185.4 Apache/1.3.28 (Unix) mod_auth_passthrough/1.6 mod_log_bytes/1.2 mod_bwlimited/1.0 PHP/4.3.2 FrontPage/5.0.2.2634 mod_ssl/2.8.15 OpenSSL/0.9.6b
Jul 12, 2003 66.192.185.4 Apache/1.3.27 (Unix) mod_log_bytes/1.2 mod_bwlimited/1.0 PHP/4.3.2 FrontPage/5.0.2.2634 mod_ssl/2.8.14 OpenSSL/0.9.6b
Jun 14, 2003 66.192.185.4 Apache/1.3.27 (Unix) mod_log_bytes/1.2 mod_bwlimited/1.0 PHP/4.3.2 FrontPage/5.0.2.2510 mod_ssl/2.8.14 OpenSSL/0.9.6b
May 11, 2003 66.192.185.4 Apache/1.3.27 (Unix) mod_log_bytes/1.2 mod_bwlimited/1.0 PHP/4.3.1 FrontPage/5.0.2.2510 mod_ssl/2.8.12 OpenSSL/0.9.6b
Apr 15, 2003 64.127.251.68 Apache/1.3.27 (Unix) (Red-Hat/Linux) mod_ssl/2.8.12 OpenSSL/0.9.6 PHP/4.1.2
Mar 12, 2003 64.127.132.1 Apache/1.3.27 Ben-SSL/1.48 (Unix) mod_dtcl mod_python/2.7.6 Python/2.1.2 mod_throttle/2.11 mod_perl/1.27 PHP/4.2.3 FrontPage/4.0.4.3 rus/PL30.16
Feb 11, 2003 64.127.132.1 Apache/1.3.27 Ben-SSL/1.48 (Unix) mod_dtcl mod_python/2.7.6 Python/2.1.2 mod_throttle/2.11 mod_perl/1.27 PHP/4.2.3 FrontPage/4.0.4.3 rus/PL30.16
Jan 13, 2003 64.127.132.1 Apache/1.3.27 Ben-SSL/1.48 (Unix) mod_dtcl mod_python/2.7.6 Python/2.1.2 mod_throttle/2.11 mod_perl/1.27 PHP/4.2.3 FrontPage/4.0.4.3 rus/PL30.16
Dec 13, 2002 64.127.132.1 Apache/1.3.27 Ben-SSL/1.48 (Unix) mod_dtcl mod_python/2.7.6 Python/2.1.2 mod_throttle/2.11 mod_perl/1.27 PHP/4.2.3 FrontPage/4.0.4.3 rus/PL30.16
Nov 17, 2002 64.127.132.1 Apache/1.3.27 Ben-SSL/1.48 (Unix) mod_dtcl mod_python/2.7.6 Python/2.1.2 mod_throttle/2.11 mod_perl/1.27 PHP/4.2.3 FrontPage/4.0.4.3 rus/PL30.16
Oct 16, 2002 64.127.132.1 Apache/1.3.26 Ben-SSL/1.48 (Unix) mod_dtcl mod_python/2.7.6 Python/2.1.2 mod_throttle/2.11 mod_perl/1.26 PHP/4.2.3 FrontPage/4.0.4.3 rus/PL30.14
Sep 13, 2002 64.127.132.1 Apache/1.3.26 Ben-SSL/1.48 (Unix) mod_dtcl mod_python/2.7.6 Python/2.1.2 mod_throttle/2.11 mod_perl/1.26 PHP/4.2.2 FrontPage/4.0.4.3 rus/PL30.14
Aug 13, 2002 212.50.10.132 Apache/1.3.26 (Unix) Debian GNU/Linux PHP/4.2.1 mod_jk/1.1.0
Jul 10, 2002 212.50.10.132 Apache/1.3.26 (Unix) Debian GNU/Linux PHP/4.2.1 mod_jk/1.1.0
Jun 10, 2002 212.50.10.132 Apache/1.3.24 (Unix) Debian GNU/Linux PHP/4.2.1 mod_jk/1.1.0 |
Ухааа. Доста добра информация, почти ни навежда на начина на мислене на админите и периодиката на обновяване. Но!!, За Но-то после.. да видим какво можем да измъкнем ако посетим сайта от чужд прокси сървър за да разберем кой хоства сайта. Семпла проверка ни казва: Registry Information
Country: Bulgaria
Top Level Domain: bg
Whois Server: whois.ripe.net
Registry Web Site: http://www.digsys.bg/bg-nic/
Registry's Query URL: http://www.digsys.bg/bg-nic/lookup.html |
Стана още по-интересно. Но... аххх това но. Много админи ползват техниката на за маскиране на версията на Apache, както и на базата данни. Дали и тук е така. Оставям на вас да прецените и не подценявайте хлапетата с мощни инструменти за трасиране. Вече всеки тийн може да си пусне Linux/Unix от бутащо CD и да намери всичката информация, която от съображения за сигурност не споменавам тук. Живи и здрави и се пазете по всякакъв начин! |
zlatenaПон, 26.03.07, 22:16 |
...на прима виста мога само да добавя......NMAP е много добър портов скенер...има и други ...компилира се и се инсталира и на Windows системи...всеки хост по принцип... дали моят или твоят компютър може да се индетифицира чрез използването на портови скенери...интересен опит може да се направи например в локална мрежа...между приятели...единият да сканира другия...за евентуални дупки |